Aprofundamento do GDPR: o que fazer sobre cookies

Todos os cookies parecem funcionar mais ou menos da mesma forma. Pequeno arquivo da web, armazenado por um usuário, rastreia a atividade etc. etc.

Mas alguns são mais “privados” do que outros.

E agora, mais do que nunca, isso fará a diferença para sua pilha de marketing.

O caminho para a conformidade com GDPR e ePrivacy é acidentado. Ele exige que seus processadores de dados confiem na “privacidade desde o design” – e peçam consentimento se estiverem usando QUAISQUER dados pessoais. Isso significa quaisquer identificadores pessoais. Isso significa cookies, ou endereços IP, ou códigos postais.

Na Convert, queríamos garantir que nenhum dado pessoal fosse armazenado em nossos sistemas e que nenhuma pessoa fosse identificada com o uso de cookies. Era a única maneira de manter o equilíbrio entre o crescimento dos negócios, o conhecimento estratégico e a privacidade pessoal dos visitantes do site.

Porque, você já se perguntou o que aconteceria quando você precisasse pedir consentimento explícito para sua ferramenta de teste A/B?

Se para que seu software seja executado, cada usuário em seu site precisa dar consentimento para testes A/B.

Como você explicaria isso claramente? Persuasivamente?

E quantos de seus usuários você acha que dariam o ok?

Fornecedores de software: se você deseja salvar seus negócios, é hora de redesenhar seus aplicativos

A UE nos deu diretrizes claras sobre como os cookies devem ser tratados no GDPR – mesmo sem os novos regulamentos de privacidade eletrônica em vigor.

Nós realmente queremos compartilhar uma mensagem clara com nossos visitantes da web: nós nos preocupamos com sua privacidade.

E para isso, espero, teremos que cancelar 20% das 72 ferramentas de software que usamos.

APENAS por causa da falta de clareza sobre privacidade. Ou a falta de recursos ajustados ao GDPR. Ou a falta de vontade de gerenciar os dados de nossos clientes, prospects e outras relações, de forma transparente.

O considerando 30 do GDPR afirma:

As pessoas singulares podem estar associadas a identificadores online fornecidos pelos seus dispositivos, aplicações, ferramentas e protocolos, como endereços de protocolo de Internet, identificadores de cookies ou outros identificadores, como etiquetas de identificação por radiofrequência.

Isso pode deixar vestígios que, em particular quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser usados ​​para criar perfis das pessoas físicas e identificá-las.

Portanto, eles não querem identificadores exclusivos . Nem mesmo em cookies – e certamente não em dados pessoais.

Testes A/B pré-GDPR com a Diretiva ePrivacy e as versões localizadas na Europa

A lei atualmente em vigor, a Diretiva de Privacidade Eletrônica (que em breve será substituída por novos Regulamentos de Privacidade Eletrônica) nos ajuda a entender em que tipo de cookies o software de teste A/B depende. São cookies de desempenho:

Testar variações de design, geralmente usando testes A/B ou multivariados, para garantir que uma aparência consistente seja mantida para o usuário do site nas sessões atuais e subsequentes. Se eles se encaixam nessa descrição, são cookies de desempenho.

Esses cookies coletam informações sobre como os visitantes usam um site, por exemplo, quais páginas os visitantes acessam com mais frequência e se recebem mensagens de erro das páginas da web. Esses cookies não coletam informações que identificam um visitante. Todas as informações que esses cookies coletam são agregadas e, portanto, anônimas. É usado apenas para melhorar o funcionamento de um site.

Esses cookies não devem ser usados ​​para redirecionar anúncios, se forem, devem ser colocados na categoria de cookies de segmentação e cookies de publicidade de acordo com o Guia de cookies da ICC UK Segunda edição novembro de 2012 [PDF] .

Os cookies no “segmento de desempenho” apenas coletam informações sobre o uso do site para benefício do operador do site. Eles dependem de dados agregados. Eles não “identificam diretamente um visitante”. O consentimento para uso desses tipos de cookies pode ser obtido, por exemplo, nos termos e condições do site – ou quando o usuário altera as configurações do site.

O método correto a ser usado aqui dependerá da natureza do site e da função precisa dos cookies envolvidos. Mas, na maioria dos casos, podemos obter o consentimento com as palavras: “Ao usar nosso [site][serviço online], você concorda com o uso desses tipos de cookies em seu dispositivo”.

Embora a nova lei (ePrivacy Regulations) seja diferente, a lei antiga/atual ePrivacy Directive nos ajuda a entender onde estava o software de teste A/B quando os cookies podiam ser colocados sem o consentimento do usuário. Poderíamos fazer nosso trabalho normalmente, desde que demos informações claras ao usuário final.

Cada país pode ter uma descrição ligeiramente diferente - mas, em geral, a Europa estava a bordo com os testes A/B. Ajudou o desempenho do site (se você não o usou para segmentação comportamental e personalização. E não compartilhou as informações com outras pessoas ou rastreou em todo o site).

Pós-GDPR, precisamos de consentimento para testes A/B?

Curiosamente, a PageFair descobriu que apenas 21% dos consumidores optariam pelo rastreamento de análises primárias.

Isso significaria que ⅕ do tráfego atual aceitaria análises se estivesse dentro dos parâmetros de consentimento.

Então, você precisará de consentimento para sua ferramenta de teste A/B?

Provavelmente sim, você precisaria de consentimento se o seu software de teste A/B dependesse de endereço IP, identificadores exclusivos como IDs de dispositivo, ID de usuário, ID de transação, ID de cookie ou dados pseudônimos (ou seja: dados irreconhecíveis + uma chave armazenada em outro lugar, para torná-lo legível novamente). Estes, sob o GDPR, são identificadores exclusivos e exigem opt-ins explícitos.

Então, quando você precisa começar com o consentimento explícito? Quando a ePrivacy Directive muda para ePrivacy Regulations?

Atenção: palavras latinas e termos legais.

O Regulamento de Privacidade Eletrônica é o 'principe lex specialis derogat legi generali' ou, em resumo, 'lex specialis' para o GDPR.

Em linguagem simples, isso significa: se o GDPR e o ePrivacy estiverem em desacordo, ou o GDPR estabelecer uma diretriz que precisa de mais especificações – as regras estabelecidas no ePrivacy são as que você precisa seguir.

No momento, temos apenas um rascunho (nomes 1533) dos Regulamentos de privacidade eletrônica em debate. Ele ainda precisa ver o feedback dos delegados membros da UE – para que não reflita exatamente o que em breve se tornará lei.

Uma previsão “otimista”: A Conselheira de Políticas do Fórum de Privacidade do Futuro, Gabriela Zanfir-Fortuna, diz que espera uma data de aprovação do ePrivacy no final de 2018. Quanto à data de implementação, realmente não temos ideia.

Menos otimista, ele também sugeriu que o Regulamento de privacidade eletrônica “provavelmente exigirá conformidade adicional”. E, Alex Propes (diretor do Interactive Advertising Bureau (IAB) de Políticas Públicas) disse que “as organizações só podem segmentar o GDPR no momento”.

Daniel Felz Associate da Alston & Bird compartilha uma visão ainda mais deprimente: “As negociações do trílogo de regulamentação de privacidade eletrônica foram adiadas para o outono de 2018; O regulamento final de ePrivacy pode não estar em vigor até 2020.” Em uma conferência patrocinada pela Sociedade Federal Alemã de Proteção de Dados, uma porta-voz do Ministério da Economia da Alemanha afirmou que as negociações do trílogo não começarão até o outono de 2018.

Aparentemente, os Estados-Membros da UE ainda estão discutindo uma série de questões em aberto sobre questões de regulamentação de privacidade eletrônica.

Entretanto, obviamente, mantém-se a actual Directiva de Privacidade Electrónica (Directiva 2002/58/CE do Parlamento Europeu e do Conselho de 12 de Julho de 2002), que é matéria de legislação nacional.

Então foi muita lei que você jogou em mim. O que isso significa para o meu negócio?

O GDPR é claro: não há dados pessoais sem consentimento. E se você está esperando que o ePrivacy apareça com uma brecha – você pode estar esperando uma longa espera.

Portanto, se o seu software de teste A/B depende de dados pessoais: endereço IP, identificadores exclusivos como IDs de dispositivo, ID de usuário, ID de transação, ID de cookie ou dados pseudônimos (são dados irreconhecíveis + chave em local diferente para torná-lo legível novamente), então isso é pessoal dados.

Continua sendo fundamental incluir dados e identificadores online, como cookies e muitos outros, em sua estratégia de GDPR. Independentemente de onde e como, o texto será adaptado por futuras discussões dos delegados.

A antiga Diretiva de Privacidade Eletrônica dava a você a obrigação de colocar um aviso de “muro de cookies” e se concentrava apenas em empresas europeias.

Agora o GDPR se aplica a todos que tocam nos dados da UE – em todo o mundo. E os dados pessoais são definidos para incluir todos os tipos de novos identificadores.

Mas a antiga diretiva ePrivacy diz outra coisa. Ele diz “para esse tipo de dados, você só precisa de um aviso e uma oportunidade de optar por não participar”.

Então, bem-vindo a um vácuo legal.

A grande questão é: você será multado dentro dessa área cinzenta?

E a resposta é: você quer arriscar?

As autoridades de privacidade terão muito tempo para implementar o GDPR. E as novas leis de privacidade eletrônica podem não ser implementadas em 2019 ou mesmo em 2020.

Portanto, não espero multas enormes em 25 de maio, se sua parede básica de biscoitos ainda estiver ativa.

Mas está claro que, finalmente, as leis estão mudando. E eles continuarão mudando – à medida que avançamos para um mundo onde os dados valem mais e os titulares dos dados exigem mais.

Então vamos começar agora.